কেন একটি বিকল্প অনুরোধ পাঠানো হয়েছে এবং আমি কী এটি অক্ষম করতে পারি?

আমি একটি ওয়েব এপিআই তৈরি করছি। আমি যখনই খুঁজে পেয়েছি আমি যখনই ক্রোম পোস্ট করতে, আমার এপিআই তে পাই তখনই আসল অনুরোধের আগে সর্বদা একটি অপশন অনুরোধ পাঠানো হয় যা বেশ বিরক্তিকর। বর্তমানে আমি কোনও অপশন অনুরোধ অগ্রাহ্য করার জন্য সার্ভারটি পেয়েছি। এখন আমার প্রশ্নগুলি সার্ভারের বোঝা দ্বিগুণ করার জন্য একটি অপশন অনুরোধ প্রেরণে ভাল কি? অপশনের অনুরোধগুলি প্রেরণ করা থেকে ব্রাউজারকে পুরোপুরি বন্ধ করার কোনও উপায় আছে কি?

2018-09-13 সম্পাদনা করুন : এই প্রাক-বিমানের অনুরোধ এবং কীভাবে এই পুনঃস্থাপনের শেষে এড়ানো যায় সে সম্পর্কে কিছু স্পষ্টতা যুক্ত করেছে।

OPTIONSঅনুরোধগুলিই আমরা pre-flightঅনুরোধগুলিতে কল করি Cross-origin resource sharing (CORS)।

আপনি যখন নির্দিষ্ট পরিস্থিতিতে বিভিন্ন উত্স জুড়ে অনুরোধ করছেন তখন এগুলি প্রয়োজনীয়।

এই প্রাক উড়ান অনুরোধটি সার্ভারের মাধ্যমে অনুরোধটি বিশ্বস্ত কিনা তা নিশ্চিত করার জন্য সুরক্ষা ব্যবস্থা হিসাবে কিছু ব্রাউজারগুলি দ্বারা তৈরি করা হয়েছে। অর্থ সার্ভার বুঝতে পারে যে অনুরোধে পাঠানো পদ্ধতি, উত্স এবং শিরোনামগুলি কাজ করা নিরাপদ।

যখনই আপনি ক্রস অরিজিন অনুরোধগুলি করার চেষ্টা করছেন তখন আপনার সার্ভারকে এই অনুরোধগুলি উপেক্ষা করা উচিত নয় handle

একটি ভাল সংস্থান এখানে পাওয়া যাবে http://enable-cors.org/

আরামদায়ক হওয়ার জন্য এগুলি হ্যান্ডেল করার একটি উপায় হ'ল OPTIONSপদ্ধতিটি সহ যে কোনও পথের জন্য সার্ভার এই শিরোলেখের সাথে প্রতিক্রিয়া প্রেরণ করে তা নিশ্চিত করা

Access-Control-Allow-Origin: *

এটি ব্রাউজারকে বলবে যে সার্ভার যে কোনও উত্সের অনুরোধগুলির উত্তর দিতে রাজি।

আপনার সার্ভারে সিওআরএস সমর্থন কীভাবে যুক্ত করবেন সে সম্পর্কে আরও তথ্যের জন্য নীচের ফ্লোচার্টটি দেখুন

http://www.html5rocks.com/static/images/cors_server_flowchart.png

2018-09-13 সম্পাদনা করুন

সিডিআর OPTIONSঅনুরোধটি কেবলমাত্র কিছু ক্ষেত্রে ট্রিগার করা হয়, যেমন এমডিএন ডক্সে ব্যাখ্যা করা হয়েছে :

কিছু অনুরোধ কোনও CORS প্রিফলাইট ট্রিগার করে না। এই নিবন্ধটিতে এগুলিকে "সরল অনুরোধগুলি" বলা হয়, যদিও আনুন অনুমান (যা CORS সংজ্ঞায়িত করে) সেই শব্দটি ব্যবহার করে না। একটি অনুরোধ যা কোনও সিওআরএস প্রিফলাইটকে ট্রিগার করে না - একটি তথাকথিত "সাধারণ অনুরোধ" - এটি নিম্নলিখিত শর্ত পূরণ করে:

অনুমোদিত অনুমোদিত পদ্ধতিগুলি হ'ল:

• পাওয়া
• মস্তক
• পোস্ট

ব্যবহারকারী এজেন্ট দ্বারা স্বয়ংক্রিয়ভাবে সেট করা শিরোনামগুলি ছাড়াও (উদাহরণস্বরূপ, সংযোগ, ব্যবহারকারীর এজেন্ট, বা "শৃঙ্খলাবদ্ধ শিরোনামের নাম" হিসাবে আনুন অনুচ্ছেদে সংজ্ঞায়িত নামের সাথে অন্য কোনও শিরোনাম), কেবলমাত্র শিরোনাম যা অনুমোদিত হতে পারে ম্যানুয়ালি সেট হ'ল ফ্যাচ স্পেক একটি "সিওআরএস-নিরাপদ অনুরোধ-শিরোনাম" হিসাবে সংজ্ঞায়িত করেছে, যা হ'ল:

• গ্রহণ করা
• স্বীকার করুন ভাষার
• বিষয়বস্তু-ভাষা
• সামগ্রী-প্রকার (তবে নীচে অতিরিক্ত প্রয়োজনীয়তা নোট করুন)
• ডিপিআর
• ডাউনলিংক
• তথ্য সংরক্ষণ
• ভিউপোর্ট-প্রস্থ
• প্রস্থ

কন্টেন্ট-টাইপ শিরোলেখের জন্য একমাত্র অনুমোদিত মানগুলি:

• আবেদন / এক্স-WWW-ফর্ম-urlencoded
• একাধিক / ফর্ম-ডেটা
• পাঠ্য / সাধারণ

অনুরোধে ব্যবহৃত কোনও এক্সএমএলএইচটিপিআরইউকুস্ট আপলোড আইটেমে কোনও শ্রোতা নিবন্ধভুক্ত নয়; এগুলি এক্সএমএলএইচটিপিআরকিউয়েস্ট.আপলোড সম্পত্তি ব্যবহার করে অ্যাক্সেস করা হয়।

অনুরোধে কোনও পঠনযোগ্য স্ট্রিম অবজেক্ট ব্যবহার করা হয়নি।

এই ইস্যুটির মধ্যে দিয়ে গেছেন, নীচে এই ইস্যুতে আমার উপসংহার এবং আমার সমাধান।

সিওআরএস কৌশল অনুসারে (আপনি এটি সম্পর্কে উচ্চারণের জন্য আপনাকে সুপারিশ করুন) আপনি কেবল ব্রাউজারকে অপশন অনুরোধ প্রেরণ বন্ধ করতে বাধ্য করতে পারবেন না যদি মনে হয় এটি প্রয়োজন হয়।

আপনি এটি চারপাশে কাজ করতে পারেন দুটি উপায়:

1. আপনার অনুরোধটি একটি "সাধারণ অনুরোধ" তা নিশ্চিত করুন
2. Access-Control-Max-Ageবিকল্পের অনুরোধের জন্য সেট করুন

সাধারণ অনুরোধ

একটি সাধারণ ক্রস-সাইট অনুরোধ হ'ল যা নিম্নলিখিত সমস্ত শর্ত পূরণ করে:

অনুমোদিত অনুমোদিত পদ্ধতিগুলি হ'ল:

• পাওয়া
• মস্তক
• পোস্ট

ব্যবহারকারী এজেন্ট (যেমন সংযোগ, ব্যবহারকারী-এজেন্ট, ইত্যাদি) দ্বারা স্বয়ংক্রিয়ভাবে সেট করা শিরোনামগুলি ছাড়াও, ম্যানুয়ালি সেট করার অনুমতিপ্রাপ্ত একমাত্র শিরোনামগুলি হ'ল:

• গ্রহণ করা
• স্বীকার করুন ভাষার
• বিষয়বস্তু-ভাষা
• বিষয়বস্তুর প্রকার

কন্টেন্ট-টাইপ শিরোলেখের জন্য একমাত্র অনুমোদিত মানগুলি:

• আবেদন / এক্স-WWW-ফর্ম-urlencoded
• একাধিক / ফর্ম-ডেটা
• পাঠ্য / সাধারণ

একটি সাধারণ অনুরোধের কারণে প্রাক-বিমানের বিকল্পগুলির অনুরোধ তৈরি হবে না।

বিকল্প চেকের জন্য একটি ক্যাশে সেট করুন

আপনি Access-Control-Max-Ageবিকল্পগুলির অনুরোধের জন্য একটি সেট করতে পারেন , যাতে এটির মেয়াদ শেষ না হওয়া পর্যন্ত এটি আবার অনুমতি পরীক্ষা করে না।

অ্যাক্সেস-কন্ট্রোল-ম্যাক্স-এজ সেকেন্ডের মধ্যে মান দেয় যে প্রিফলাইট অনুরোধটির প্রতিক্রিয়া আর কোনও প্রিফলাইট অনুরোধ না প্রেরণে ক্যাচ করা যায়।

সীমাবদ্ধতা লক্ষণীয়

• ক্রোমের জন্য , ক্রোম উত্স কোড অনুসারে সর্বোচ্চ সেকেন্ড 10 মিনিটের জন্য Access-Control-Max-Ageis600
• Access-Control-Max-Ageপ্রতিবার কেবলমাত্র একটি সংস্থান হিসাবে কাজ করে, উদাহরণস্বরূপ, GETএকই ইউআরএল পাথের সাথে অনুরোধগুলি রয়েছে তবে বিভিন্ন কোয়েরিকে বিভিন্ন সংস্থান হিসাবে বিবেচনা করা হবে। সুতরাং দ্বিতীয় উত্সের অনুরোধটি একটি প্রিফলাইট অনুরোধটি এখনও ট্রিগার করবে।

প্রাক-ফ্লাইটেড অপশন অনুরোধের আসল প্রয়োজনের বিষয়ে দয়া করে এই উত্তরটি উল্লেখ করুন: সিওআরএস - প্রিফলাইট অনুরোধগুলি প্রবর্তনের পিছনে অনুপ্রেরণা কী?

বিকল্পগুলির অনুরোধটি অক্ষম করতে, নীচের শর্তাদি এজ্যাক্স অনুরোধের জন্য সন্তুষ্ট থাকতে হবে:

1. অনুরোধটি 'অ্যাপ্লিকেশন / এক্সএমএল' বা 'অ্যাপ্লিকেশন / জেসন' ইত্যাদির মতো কাস্টম এইচটিটিপি শিরোনাম সেট করে না
2. অনুরোধ পদ্ধতিটি জিইটি, হেড বা পোষ্টগুলির মধ্যে একটি হতে হবে। পোস্ট করেন বিষয়বস্তুর প্রকার কোনো একটি হওয়া আবশ্যক application/x-www-form-urlencoded, multipart/form-dataঅথবাtext/plain

তথ্যসূত্র: https://developer.mozilla.org/en-US/docs/Web/HTTP/Acecess_control_CORS

যখন আপনার ডিবাগ কনসোলটি খোলা থাকে এবং Disable Cacheবিকল্পটি চালু থাকে, প্রিফলাইট অনুরোধগুলি সর্বদা প্রেরণ করা হবে (অর্থাত প্রতিটি অনুরোধের আগে)। আপনি যদি ক্যাশে অক্ষম না করেন তবে প্রাক-উড়ানের অনুরোধটি কেবল একবারই পাঠানো হবে (প্রতি সার্ভারে)

হ্যাঁ বিকল্পগুলির অনুরোধটি এড়ানো সম্ভব। বিকল্পগুলির অনুরোধটি আপনি যখন অন্য কোনও ডোমেইনে কোনও ডেটা প্রেরণ করেন (পোস্ট করেন) তখন একটি প্রাকফ্লাইট অনুরোধ। এটি একটি ব্রাউজার সুরক্ষা সমস্যা। তবে আমরা আরেকটি প্রযুক্তি ব্যবহার করতে পারি: আইফ্রেমে পরিবহন স্তর। আমি দৃ strongly়ভাবে আপনাকে কোনও সিওআরএস কনফিগারেশনটি ভুলে গিয়ে রেডিমেড সলিউশন ব্যবহার করার পরামর্শ দিচ্ছি এবং এটি যে কোনও জায়গায় কাজ করবে।

এখানে একবার দেখুন: https://github.com/jpillora/xdomain

এবং কাজের উদাহরণ: http://jpillora.com/xdomain/

যে বিকাশকারী তার বিদ্যমান কারণটি বুঝতে পারে তবে এমন একটি এপিআই অ্যাক্সেস করতে হবে যা অপশন ছাড়াই অপশন কল পরিচালনা করতে পারে না, আমার একটি অস্থায়ী উত্তর দরকার যাতে এপিআই মালিক যথাযথ এসপিএ কোর সমর্থন যোগ না করে অথবা আমি একটি প্রক্সি এপিআই না পাওয়া পর্যন্ত আমি স্থানীয়ভাবে বিকাশ করতে পারি আপ এবং চলমান।

আমি পেয়েছি আপনি ম্যাকের সাফারি এবং ক্রোমে সিওআরএস অক্ষম করতে পারেন।

ক্রোমে একই উত্স নীতিটি অক্ষম করুন

ক্রোম: ক্রোমটি প্রস্থান করুন, একটি টার্মিনাল খুলুন এবং এই আদেশটি আটকান: open /Applications/Google\ Chrome.app --args --disable-web-security --user-data-dir

সাফারি: সাফারিতে সম-উত্স নীতি অক্ষম করা হচ্ছে

আপনি যদি সাফারি (আমার 9.1.1 আছে) তে একই-উত্স নীতিটি অক্ষম করতে চান, তবে আপনাকে কেবল বিকাশকারী মেনুটি সক্ষম করতে হবে এবং বিকাশ মেনু থেকে "ক্রস-ওরিজিন সীমাবদ্ধতাগুলি অক্ষম করুন" নির্বাচন করুন।

পূর্ববর্তী পোস্টগুলিতে ইতিমধ্যে উল্লিখিত হিসাবে, OPTIONSঅনুরোধগুলি একটি কারণে রয়েছে। আপনার সার্ভার (যেমন বিদেশী সংযোগ) থেকে বৃহত্তর প্রতিক্রিয়ার বারগুলির সাথে যদি আপনার সমস্যা থাকে তবে আপনার ব্রাউজারটি প্রিফলাইট অনুরোধগুলিও ক্যাশে করতে পারে।

আপনার সার্ভারটি Access-Control-Max-Ageশিরোনামের সাথে উত্তর দিন এবং অনুরোধগুলি যা একই প্রান্তে যেতে পারে সেই প্রিফলাইট অনুরোধটি ক্যাশে হয়ে গেছে এবং আর ঘটবে না।

আমি এই সমস্যার মতো সমাধান করেছি।

if($_SERVER['REQUEST_METHOD'] == 'OPTIONS' && ENV == 'devel') {
    header('Access-Control-Allow-Origin: *');
    header('Access-Control-Allow-Headers: X-Requested-With');
    header("HTTP/1.1 200 OK");
    die();
}

এটি কেবল উন্নয়নের জন্য। এর সাথে আমি 9 এসএম এবং 500 মিমি এবং 8 এস এবং 500 মিমি অপেক্ষা করছি না। আমি এটি করতে পারি কারণ প্রোডাকশন জেএস অ্যাপ্লিকেশন একই মেশিনে থাকবে যেমন উত্পাদন হবে তাই সেখানে কোনও কিছুই থাকবে না OPTIONSতবে উন্নয়ন আমার স্থানীয়।

আপনি পারবেন না তবে আপনি JSONP ব্যবহার করে CORS এড়াতে পারবেন।

পুরো একটি দেড় দিন একই ধরণের সমস্যার মধ্য দিয়ে কাজ করার চেষ্টা করার পরে আমি দেখতে পেলাম এটি আইআইএস-এর সাথে জড়িত ।

আমার ওয়েব এপিআই প্রকল্পটি নীচে সেট আপ করা হয়েছিল:

// WebApiConfig.cs
public static void Register(HttpConfiguration config)
{
    var cors = new EnableCorsAttribute("*", "*", "*");
    config.EnableCors(cors);
    //...
}

ওয়েবকনফিগ> সিস্টেমে.সেবাব্লু সার্ভার নোডে আমি অনেকগুলি পোস্টে দেখেছি এমন কোনও সিওআরএস নির্দিষ্ট কনফিগার বিকল্প নেই did

গ্লোবাল.এএসএক্সে বা ডেকরেটার হিসাবে নিয়ামক হিসাবে কোনও সিওআরএস নির্দিষ্ট কোড নেই

সমস্যাটি ছিল অ্যাপ পুলের সেটিংস ।

পরিচালিত পাইপলাইন মোড ক্লাসিক (সেট ছিল ইন্টিগ্রেটেড তা পরিবর্তিত ) এবং আইডেন্টিটি নেটওয়ার্ক সার্ভিস সেট হয়েছিল ( ApplicationPoolIdentity তা পরিবর্তিত )

এই সেটিংস পরিবর্তন করা (এবং অ্যাপ্লিকেশন পুলটি রিফ্রেশ করা) এটি আমার জন্য স্থির করে।

আমার পক্ষে কাজটি ছিল "github.com/gorilla/handlers" আমদানি করা এবং তারপরে এটি ব্যবহার করা:

router := mux.NewRouter()
router.HandleFunc("/config", getConfig).Methods("GET")
router.HandleFunc("/config/emcServer", createEmcServers).Methods("POST")

headersOk := handlers.AllowedHeaders([]string{"X-Requested-With", "Content-Type"})
originsOk := handlers.AllowedOrigins([]string{"*"})
methodsOk := handlers.AllowedMethods([]string{"GET", "HEAD", "POST", "PUT", "OPTIONS"})

log.Fatal(http.ListenAndServe(":" + webServicePort, handlers.CORS(originsOk, headersOk, methodsOk)(router)))

অজ্যাক্স পোস্টের অনুরোধটি কার্যকর করা এবং এর সাথে জেএসওএন ডেটা সংযুক্ত করার সাথে সাথে ক্রোম সর্বদা আমার পূর্বনির্ধারিত অনুমোদিত হাইডার্স কনফিগারেশনে থাকা সামগ্রীর ধরণের শিরোনাম যুক্ত করবে।

আমি অতীতে একটি সমাধান ব্যবহার করেছি - এটি বলতে দিন যে আপনার সাইটটি মাইডোমেন ডটকম এ রয়েছে এবং আপনাকে ফোরইগেন্ডোমাইন ডট কম এজেক্স অনুরোধ করতে হবে

আপনার ডোমেন থেকে বিদেশী ডোমেনে আইআইএস পুনর্লিখনটি কনফিগার করুন - যেমন

<rewrite>
  <rules>
    <rule name="ForeignRewrite" stopProcessing="true">
        <match url="^api/v1/(.*)$" />
        <action type="Rewrite" url="https://foreigndomain.com/{R:1}" />
    </rule>
  </rules>
</rewrite>

আপনার মাইডোমেন.কম. সাইটে - আপনি তখন একই উত্স অনুরোধ করতে পারেন, এবং কোনও বিকল্পের অনুরোধের প্রয়োজন নেই :)

এটি কোনও প্রক্সি ব্যবহারের ক্ষেত্রে সমাধান করা যেতে পারে যা অনুরোধটিকে বাধা দেয় এবং উপযুক্ত শিরোনাম লিখতে পারে। বার্নিশের বিশেষ ক্ষেত্রে এগুলি হ'ল নিয়ম:

if (req.http.host == "CUSTOM_URL" ) {
set resp.http.Access-Control-Allow-Origin = "*";
if (req.method == "OPTIONS") {
   set resp.http.Access-Control-Max-Age = "1728000";
   set resp.http.Access-Control-Allow-Methods = "GET, POST, PUT, DELETE, PATCH, OPTIONS";
   set resp.http.Access-Control-Allow-Headers = "Authorization,Content-Type,Accept,Origin,User-Agent,DNT,Cache-Control,X-Mx-ReqToken,Keep-Alive,X-Requested-With,If-Modified-Since";
   set resp.http.Content-Length = "0";
   set resp.http.Content-Type = "text/plain charset=UTF-8";
   set resp.status = 204;
}

}

এর সমাধান সম্ভবত রয়েছে (তবে আমি এটি পরীক্ষা করিনি): আপনি আপনার দূরবর্তী ডোমেন সক্ষম করতে সিএসপি (বিষয়বস্তু সুরক্ষা নীতি) ব্যবহার করতে পারেন এবং ব্রাউজারগুলি সম্ভবত কর্স বিকল্পগুলির অনুরোধ যাচাইকরণ এড়িয়ে যাবে।

আমি যদি কিছু সময় পাই তবে আমি এটি পরীক্ষা করে এই পোস্টটি আপডেট করব!

সিএসপি: https://developer.mozilla.org/fr/docs/Web/HTTP/Heeda/Content-Security- নীতি

সিএসপি সুনির্দিষ্ট: https://www.w3.org/TR/CSP/